Раскрыты подлинные данные о взломе компании DigiNotar

Специалисты по безопасности из Fox-IT выпустили отчёт в формате PDF, состоящий из 101 страницы, который читается почти как детективный роман. Темой является вторжение в голландский центр сертификации (CA) DigiNotar, в деле которого Fox-IT специалисты занимались расследованием, сообщает itword.org.

В прошлом году, хакер сумел пробиться в инфраструктуру DigiNotar через интернет и выпустить большое количество SSL сертификатов для очень известных доменов, таких как google.com, microsoft.com и skype.com

Сразу же стало понятно, что хакер сделал это не ради удовольствия, так как один из сертификатов Google был использован, чтобы шпионить за большим количеством иранских интернет-пользователей. В докладе говорится, что злоумышленник хранил инструменты для взлома в публично доступном каталоге www.diginotar.nl/beurs на веб-сервере DigiNotar, а затем получил доступ благодаря ряду различных систем в сети компании CA.

Хакер сумел получить контроль над всеми восемью серверами CA, которые не доступны через интернет, но хакер медленно, но неуклонно туннелировал к ним путь через различные окружающие сегменты сети.

Найдя некоторые улики оставленные на одном из серверов, Fox-IT специалисты предположили, что этот хакер - тот самый, который ранее покушался на реселлера Comodo.

Злоумышленник использовал прокси, чтобы скрыть свою личность. Но, как отмечается в докладе, видимо совершенно случайно единожды подключился к DigiNotar сети без прокси. Все признаки указывают на Иран, как на местоположение нарушителя. Специалисты Fox-IT удалили IP-адреса из доклада, которые могут привести непосредственно к нарушителю. Это сделалось для того, чтобы не подвергать опасности расследование, которое ведётся в настоящее время, так как преступник всё ещё находится на свободе.

Между тем, данный инцидент уже имеет серьёзные последствия для DigiNotar: компания была закрыта вскоре после этого происшествия.